Recogida de datos personales: Legitimación y consentimiento expreso
De acuerdo a la normativa de protección de datos, los centros educativos están legitimados para el tratamiento de datos personales para dar cumplimiento, como hemos dicho, a la función docente y orientadora. En estos casos, el consentimiento expreso para el tratamiento de datos no será necesario, pero sí deberá informar a los interesados (alumnos, padres o tutores y empleados) de la realización de dicho tratamiento.
Cuando sea necesario llevar un tratamiento de datos que no esté legitimado por esa finalidad, será necesario recabar el consentimiento expreso de los interesados. También deberá recabarse este consentimiento expreso cuando se traten categorías de datos especiales o sensibles (origen racial, relativos a la salud y a la vida sexual, ideología, religión o creencias o afiliación sindical), además, deberá recogerse por escrito.
Los alumnos mayores de 14 años podrán prestar su consentimiento ellos mismos, mientras que para los menores de 14 años deberá recabarse el consentimiento de padres o tutores legales.
Como el consentimiento debe quedar registrado, lo habitual es recurrir a incluir la correspondiente cláusula en el mismo impreso o formulario en el que se van a recabar los datos (por ejemplo, en el formulario de matriculación), usando casillas para marcar el otorgamiento del consentimiento o mediante la firma.
El consentimiento ha de ser inequívoco y específico, correspondiendo al centro o a la Administración educativa acreditar su existencia.
En cuanto a los profesores, más allá de cuando los profesores recogen datos personales de los alumnos en el ejercicio de sus funciones administrativas, también estarán legitimados para recoger datos personales de los alumnos directamente en el desempeño de sus labores docentes, por ejemplo, para evaluar ejercicios, dentro de las instrucciones o protocolos internos al respecto del centro.
Deber de informar
La protección de datos en centros educativos requiere cumplir con el deber de informar a los interesados (alumnos, padres o tutores legales y empleados del centro) de todo lo relativo al tratamiento de sus datos, en concreto se informará sobre:
• El tratamiento de datos
• La identidad del responsable del tratamiento, del Delegado de Protección de Datos (DPO) y del encargado o encargados del tratamiento
• La finalidad del tratamiento
• El plazo de conservación de los datos
• Si los datos serán cedidos a terceros (identificando a los mismos)• Si se producirán transferencias internacionales de datos y las garantías de las mismas
• La vía para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición)
Registro de actividades de tratamiento
Dado el volumen y las categorías de datos que manejan los centros educativos, el responsable del tratamiento está obligado a llevar un registro de actividades de tratamiento, de manera que por cada tratamiento de datos personales que se haga en el centro (listado de alumnos, nóminas de profesores, cámaras de seguridad, información referente a la salud, etc.), se deberá realizar el correspondiente registro de actividades de tratamiento, que recogerá la siguiente información:
• Datos identificativos del responsable del tratamiento, del encargado o encargados del tratamiento y del DPO
• La finalidad del tratamiento
• La base legitimadora del tratamiento
• Las categorías de datos e interesados afectados
• Las categorías de destinatarios de los datos existentes o previstos
• Las transferencias internacionales de datos (si procede)
• El plazo de conservación de los datos
• Descripción general de las medidas técnicas y organizativas de seguridad